[發明專利]反射攻擊防御方法、裝置、電子設備及存儲介質有效
| 申請號: | 202011610721.6 | 申請日: | 2020-12-30 |
| 公開(公告)號: | CN112804200B | 公開(公告)日: | 2022-06-24 |
| 發明(設計)人: | 鄒浩;鄺必權 | 申請(專利權)人: | 北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L67/14 |
| 代理公司: | 北京超凡宏宇專利代理事務所(特殊普通合伙) 11463 | 代理人: | 唐菲 |
| 地址: | 100000 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 反射 攻擊 防御 方法 裝置 電子設備 存儲 介質 | ||
1.一種反射攻擊防御方法,其特征在于,應用于清洗設備,所述清洗設備分別與檢測設備、網絡通信設備連接,所述檢測設備還與所述網絡通信設備連接,防護對象通過所述網絡通信設備向遠端網絡發送包含請求報文的上行流量,所述遠端網絡通過所述網絡通信設備向所述防護對象發送包含響應報文的下行流量,所述方法包括:
將經過所述網絡通信設備發送至所述遠端網絡的上行流量鏡像至所述清洗設備;
在接收到所述檢測設備在確定存在反射攻擊時發送的聯動信息且所述聯動信息中的牽引網際互連協議IP地址命中所述防護對象的源IP地址時,基于所述牽引IP從所述網絡通信設備牽引所述下行流量至所述清洗設備;
基于鏡像的上行流量中的請求報文建立會話;
基于所述會話,針對所述下行流量的每個流量包進行會話檢查;
將會話檢查結果為正常的正常流量包發送至所述網絡通信設備,以使所述正常流量包經過所述網絡通信設備到達所述防護對象。
2.根據權利要求1所述的方法,其特征在于,所述基于所述上行流量中的所述請求報文建立會話,包括:
基于所述請求報文的五元組信息建立會話。
3.根據權利要求1所述的方法,其特征在于,所述聯動信息包括所述牽引IP地址和攻擊類型,所述在接收到所述檢測設備在確定存在反射攻擊時發送的聯動信息且牽引網際互連協議IP地址命中所述防護對象的源IP地址時,從所述網絡通信設備牽引所述下行流量至所述清洗設備,包括:
接收所述檢測設備在確定存在反射攻擊時發送的所述聯動信息;
解析所述聯動信息,以獲得所述牽引IP地址;
在所述牽引IP地址命中所述防護對象的源地址時,基于所述牽引IP地址和所述攻擊類型向所述網絡通信設備進行動態路由通告,以將所述下行流量牽引至所述清洗設備。
4.根據權利要求1所述的方法,其特征在于,所述基于會話,針對所述下行流量的每個流量包進行會話檢查,包括:
針對所述下行流量中的每個流量包,與所述會話進行五元組信息匹配;
在所述會話中存在與當前流量包匹配的五元組信息時,確定所述當前流量包為所述正常流量包。
5.一種反射攻擊防御方法,其特征在于,應用于檢測設備,所述檢測設備分別與清洗設備、網絡通信設備連接,所述檢測設備還與所述網絡通信設備連接,防護對象通過所述網絡通信設備向遠端網絡發送包含請求報文的上行流量,所述遠端網絡通過所述網絡通信設備向所述防護對象發送包含響應報文的下行流量,所述方法包括:
將經過所述網絡通信設備發送至所述防護對象的下行流量鏡像至所述檢測設備;
在基于鏡像的所述下行流量確定存在反射攻擊時,向所述清洗設備發送聯動信息,以使所述清洗設備在接收到所述聯動信息且所述聯動信息中的牽引IP地址命中所述防護對象的源IP地址時,基于所述牽引IP從所述網絡通信設備牽引所述下行流量至所述清洗設備,以使所述清洗設備基于鏡像的上行流量中的請求報文建立會話,并基于會話,針對所述下行流量的每個流量包進行會話檢查,將會話檢查結果為正常的正常流量包發送至所述網絡通信設備,經過所述網絡通信設備將所述正常流量包發送至所述防護對象。
6.根據權利要求5所述的方法,其特征在于,在所述在基于鏡像的所述下行流量確定存在反射攻擊時,向所述清洗設備發送聯動信息之前,所述方法還包括:
基于流量異常檢測確定所述下行流量是否存在反射攻擊。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司,未經北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011610721.6/1.html,轉載請聲明來源鉆瓜專利網。
